Linee guida per la sicurezza di Application Integration

Questo documento descrive le linee guida e le considerazioni sulla sicurezza per il prodotto di integrazione delle applicazioni. Se non hai mai utilizzato Application Integration, ti consigliamo di iniziare con la panoramica di Application Integration.

Account di servizio

Un account di servizio è un tipo speciale di account utilizzato da un'applicazione anziché da una persona. Un account di servizio è identificato da un indirizzo email univoco. Per saperne di più, consulta Account di servizio.

Gli account di servizio possono essere utilizzati per fornire accesso sicuro alle risorse Google Cloud senza condividere le tue credenziali di accesso. In questo modo, viene impedito l'accesso non autorizzato alle tue risorse.

Di seguito sono riportate alcune best practice che puoi seguire quando utilizzi un account di servizio:

Crea un account di servizio separato per ogni attività o applicazione. In questo modo puoi gestire meglio l'accesso e tenere traccia di quali account di servizio vengono utilizzati per quali attività.
Concedi al service account solo le autorizzazioni necessarie per eseguire le attività previste.
Le chiavi degli account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi degli account di servizio quando è possibile. Se devi effettuare l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte dalle best practice per la gestione delle chiavi degli account di servizio. Se non riesci a creare una chiave del service account, la creazione di chiavi del service account potrebbe essere disabilitata per la tua organizzazione. Per ulteriori informazioni, consulta Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.
Se hai acquisito la chiave dell'account di servizio da una fonte esterna, devi convalidarla prima dell'utilizzo. Per ulteriori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.
Monitora l'utilizzo dei tuoi account di servizio e controlla i log di controllo per assicurarti che vengano utilizzati come previsto. In questo modo puoi rilevare eventuali accessi non autorizzati o cattivo uso degli account di servizio.

Per ulteriori informazioni, consulta Best practice per l'utilizzo degli account di servizio.

Ruoli personalizzati

I ruoli personalizzati ti consentono di creare autorizzazioni granulari personalizzate in base alle tue esigenze specifiche. Ad esempio, puoi creare un ruolo personalizzato che consenta a un account di servizio di leggere e scrivere dati in un bucket Cloud Storage, ma non di eliminarli. I ruoli personalizzati sono utili per gestire l'accesso alle risorse Google Cloud e garantire che gli utenti e le applicazioni dispongano solo delle autorizzazioni necessarie per svolgere le attività previste.

Puoi creare ruoli personalizzati utilizzando Identity and Access Management (IAM) e assegnarli a utenti, gruppi o account di servizio. Per ulteriori informazioni, consulta Creare un ruolo personalizzato.

Profili di autenticazione

Un profilo di autenticazione ti consente di configurare e archiviare i dettagli di autenticazione per la connessione in un'integrazione. Pertanto, anziché utilizzare una configurazione di autenticazione hard-coded, puoi utilizzare la configurazione del profilo di autenticazione integrata che offre una maggiore sicurezza. Application Integration supporta vari tipi di autenticazione a seconda dell'attività. Per ulteriori informazioni, consulta Compatibilità dei tipi di autenticazione con le attività.

Per impedire l'accesso non autorizzato e garantire una maggiore sicurezza, ti consigliamo di utilizzare un profilo di autenticazione se un'attività lo supporta.